Benutzen Sie E-Banking? Bezahlen Sie an der Coop-Kasse mit dem Handy? Oder verlängern Sie Ihre Hypothek im Internet? Keine Frage, die Digitalisierung von Finanzdienstleistungen ist aus vielen Haushalten nicht mehr wegzudenken. Auch wer sich nicht zu den digitalen Vorreitern zählt, kann sich ein Leben mit papierenen Einzahlungsscheinen kaum mehr vorstellen. Spiegel dieser Entwicklung ist der Schweizer Markt für Finanztechnologie, sogenannte Fintech-Unternehmen.
Laut einer aktuellen Studie des Instituts für Finanzdienstleistungen Zug IFZ der Hochschule Luzern ist die Schweizer Fintech-Szene grösser als häufig wahrgenommen. 2010 gab es erst 24 spezialisierte Fintech-Firmen. 2015 zählten die Studienautoren bereits deren 162. Doch das rasche Wachstum der Branche hat auch Schattenseiten – und zwar dort, wo es die Konsumenten direkt betreffen kann: bei der Sicherheit.
"IT-Sicherheit muss ganz weit vorne stehen, wenn es um digitale Vermögenswerte geht. Traditionelle Banken haben damit bereits eine Menge Erfahrung. Bei Fintech-Start-ups sieht die Situation häufig etwas anders aus", sagt Tom Sprenger, Technikchef beim Zürcher Software-Unternehmen AdNovum. Denn das Fintech-Geschäft ist sehr schnelllebig und von starkem Wachstum getrieben. Geschwindigkeit ist im Konkurrenzkampf oft matchentscheidend. "Solches Vorgehen ist für Sicherheitsaspekte häufig nicht förderlich", sagt Sprenger.
Fokus auf Wachstum, nicht auf Sicherheit
Aus der Perspektive von Sicherheits-Experten sollte ein junges, digital ausgerichtetes Unternehmen seine Schutz-Instrumente von Anfang an mitwachsen lassen und nicht erst zu einem späteren Zeitpunkt auf die eigentliche Business-Idee aufpflanzen. Doch das Problem ist nicht selten folgendes: Die Interessen von Investoren und Security-Vertretern sind gegensätzlich. Das Kundenerlebnis wird oft höher gewichtet als die Sicherheit, exponentielles Wachstum ist das Ziel. Ein ideales Fintech-Start-up-Team besteht für Tom Sprenger deshalb nicht nur aus einem Banker und einem Informatiker, sondern zusätzlich auch aus einem Sicherheitsexperten.
Heisst das, dass Anleger-Gelder bei einem kleinen Fintech-Start-up weniger sicher sind als bei einer Grossbank? Nicht unbedingt, sagt Roger Halbheer vom Beratungsunternehmen Accenture: "Beide Unternehmen können fahrlässig sein. Das Problem ist, dass Endkunden die Risiken nicht abschätzen können." Wo es Geld zu holen gibt, findet in der Regel Kriminalität statt und deshalb sollten Online-Kunden ein paar Faustregeln beachten. Passwörter dürfen nicht per Mail versendet werden, die Verschlüsselung muss über ein https-Protokoll erfolgen - und beim Login muss mindestens eine Zwei-Faktor-Authentifizierung verlangt werden.
Auch die Finma schaut hin
Das rasche Wachstum der Fintech-Branche beschäftigt auch die Finanzmarktaufsicht Finma. Entsprechende Unternehmen sollen speziell reguliert, "unnötige Hürden" abgebaut werden, wie die Finma vor wenigen Tagen mitteilte. Konkret soll erstens der Markeintritt für Anbieter von Zahlungssystemen, Apps für die digitale Vermögensverwaltung aber auch Crowd-Plattformen erleichtert werden. Zweitens ist ein bewilligungsfreies Entwicklungsfeld für kleine Fintech-Start-ups in Planung, die sogenannte "Sandbox". Ob die neue Bewilligungskategorie von der Finma gleich streng beaufsichtigt wird wie Inhaber von herkömmlichen Banklizenzen, ist noch unklar.
"Regulierungen von Fintech-Unternehmen sind immer ein Abwägen zwischen Konsumentenschutz und den Möglichkeiten und Risiken des technologischen Fortschritts", sagt Thomas Ankenbrand, Autor der eingangs erwähnten Fintech-Studie. Eine globale Lösung würde Schweizer Fintechs wohl am meisten bringen, denn der Schweizer Markt ist relativ klein, was eine Wachstumshürde darstellt. "Weil der Regulator meistens kein Spezialist ist, lautet meine Empfehlung, auf internationale Standards wie die SANS Top 20 Security Controls zu setzen", sagt Roger Halbheer von Accenture.
Wie schlagkräftig und professionell Internet-Kriminelle mittlerweile vorgehen, zeigte sich kürzlich eindrucksvoll. Zahlreiche Schweizer Onlineshops sowie bekannte Websites wurden Opfer von Hacker-Angriffen und teilweise stundenlang lahmgelegt. Zudem veröffentlichten die Sicherheitsexperten des Bundes am 11. März ein anonymes Erpresserschreiben, das bei rund einem Dutzend Schweizer Finanzinstituten eingegangen sei.
Armada Collective ist zurück und erpresst Finanzinstitute in der
— GovCERT.ch (@GovCERT_CH) 11. März 2016
Schweiz: https://t.co/ihxQZB7M16
Dennoch werden Schweizer Bankendienstleister im Vergleich mit dem Ausland grundsätzlich als sicher eingestuft. Auch wenn sich in den letzten Jahren einiges verändert hat an der Beziehung zwischen Kunde und Bank. Zu Zeiten der Bankgeschäfte am Schalter war der persönliche Kontakt eine wichtige Kontrolle. Durch die Verschiebung ins Internet wurde diesbezüglich eine Distanz geschaffen.
"Das generelle Problem bei digitalen Services ist, dass man den Kunden aus einem Sicherheitsblickwinkel nur noch bedingt kennt. Heute haben wir häufig die Situation, dass die Marketing-Abteilungen besser Bescheid wissen über die Kundschaft als die Sicherheitsabteilungen", sagt Tom Sprenger von AdNovum dazu. Er erwartet deshalb, dass weitere Verfahren entwickelt werden, die das digitale Kundenverhalten nutzbar machen zur Verbesserung der Sicherheit.
Es gibt kein Zurück
Um den Fintech-Boom weiter voranzutreiben und damit die breite Masse zu erreichen, dürften aufstrebende Schweizer Fintech-Unternehmen gut beraten sein, Sicherheitsthemen nicht zu vernachlässigen. Einerseits hat die hiesige Bevölkerung ein hohes Sicherheitsbewusstsein, was sich auch bei den Cloud-Services und beim Bezahlen per Handy zeigt - zwei Trends, die im internationalen Vergleich noch wenig Anklang finden.
Andererseits müssen Sicherheitslösungen immer möglichst benutzerfreundlich sein. "Sicherheitsanwendungen sind dann erfolgreich, wenn sie gut benutzbar sind", sagt Berater Roger Halbheer. Die gute Nachricht für Fintechs: Ein Zurück zu analog gibt es nicht. "Den reinen Papierverkehr erachte ich als grösseres Risiko", so Halbheer.